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(5 7) Abstract; The invention relates to a method and a device for the generation of checkable forgery-proof documents with an 
53— externally supplied cryptographic module, whereby the checking of authenticity of the document is carried out without using key 
information belonging to the cryptographic module. According to the invention, the method and the device are characterised in that 
the cryptographic module is supplied with two types of data, even on supply from a communication partner which is cryptographi- 
cally not trustworthy, which either remain in the cryptographic module or are attached to the document The information remaining 
in the cryptographic module is used to secure the document information by means of a check value and the information transferred 
into the document serves to verify the securing of the document by the cryptographic module during a check of the authenticity of 
the document at a checkpoint 
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(57) Zusammenfassung: Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Erstellung priifbar falschungssicherer elek- 
tronischer Dokumente mit einem extern gespeisten kryptografischen Modul, wobei die Prufung der Unverfalschtheit der Dokumente 
ohne Benutzung von Schlusselinformationen erfolgt, die dem kryptografischen Modul eigen sind. ErfindungsgemaB zeichnen sich 
das Verfahren und die Vorrichtung dadurch aus, dass das kryptografische Modul auch bei einer Speisung uber kryptografisch nicht 
vertrauenswUrdige Kommunikationspartner mit zwei Arten von Daten versorgt wird, die zum einen im kryptografischen Modul 
verblefben und die zum anderen an das Dokument angehangt werden, wobei die im kryptografischen Modul verbleibenden In- 
forms tionen genutzt werden, um die Dokumentinformationen uber einen Priifwert abzusichem und wobei die in das Dokument 
ubemommenen Informationen dazu dienen, im Rahmen einer Prufung der Unverfalschtheit des Dokuments in einer Priifstelle die 
Absicherung des Dokuments durch das kryptografische Modul nachzuweisen. 
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Verfahren und Vorrichtung zur Erstellung pr&fbar 
f alschungssicherer Dokumente 



5 Beschreibung: 

Die Erfindung betrifft ein Verfahren zur Erstellung f al- 
schungssicherer Dokumente oder Datensatze, wobei eine Schlus- 
sel information erzeugt und eine verschliisselte Prufinforma- 
10 tion aus der Schlusselinf ormation und einem Transaktions-In- 
dikator gebildet wird. 

Die Erfindung betrifft ferner ein Wer tuber t r agungs zent rum und 
ein kryptograf isches Modul. 

15 

Es ist eine Vielzahl von Verfahren zur Erzeugung falschungs- 
sicherer Dokumente und zu ihrer Uberprufung bekannt . Ubliche 
Verfahren basieren auf der Erstellung digitaler Signaturen 
oder verschlusselter Prtif inf ormationen, die im Rahmen der Er- 
20 stellung des Dokuments angefertigt werden. 

Zu unterscheiden ist dabei zwischen Dokumenten,. bei denen der 
Ersteller ein Interesse an der Unverf alschtheit hat und sol- 
chen, bei denen Dritte ein Interesse an der Unverf alschtheit 
25 haben. 



Hat ein Dritter Interesse an der Falschungssicherheit von Do- 
kumenten, so ist es bekannt, dass bei der Erstellung des Do- 
kuments ein sogenanntes „ kryptograf isches Modul w hinzugezogen 

30 wird. Solche bekannten kryptograf ischen Module zeichnen sich 
dadurch aus, dass sie in ihrem Inneren elektronische Daten 
beinhalten oder Dateh verarbeiten, die von aufien nicht unbe- 
merkt eingesehen oder manipuliert werden konnen. 
Ein kryptograf isches Modul kann als sichere, versiegelte Ein- 

35 heit betrachtet werden, in der sicherheitsrelevante Prozesse 
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durchgefuhrt werden, die von au£en nicht manipuliert werden 
konnen . Ein weltweit anerkannter Standard fur solche kryp- 
tografischen Module ist der von der US-amerikanischen natio- 
nalen Behorde fur Standardisierung NIST verof fentlichte Stan- 
5 dard fur kryptograf ische Module rait der Bezeichnung FIPS Pub 
140. 

Wird zur Erstellung f alschungssicherer Dokumente, an deren . 
Unverf alschtheit Dritte interessiert sind, ein kryptograf i- 
sches Modul eingesetzt, so besteht eine ubliche Realisierung 

10 darin, dass das kryptograf ische Modul genutzt wird # urn kryp- 
tografische Schlussel sicher zu hinterlegen, die innerhalb 
des Moduls, und nur dort, zur Verschlusselung von Prufwerten 
dienen. Bekannt sind beispielsweise sogenannte Signaturkar- 
ten, wie sie von Zertif izierungsbehorden oder Trustcentern 

15 zur Erstellung von digitalen Signaturen ausgegeben werden. 
Auch diese Signaturkarten, ausgefuhrt als Mikroprozessor- 
Chipkarte, enthalten in eben diesem Microporzessor-Chip ein 
kryptograf isches Modul. 

In solchen Modulen sind in der Regel ein oder mehrere asym- 

20 metrische Schlusselpaare hinterlegt, die sich dadurch aus- 
zeichnen, dass Verschlilsselungen, die mit dem . sogenannten 
privaten Schlussel erzeugt werden, nur mit dem zugehorigen 
of fent lichen Schlussel ruckgangig gemacht werden konnen und 
dass Verschlusselungen, die mit dem offentlichen Schlussel 

25 erzeugt werden, nur mit dem zugehorigen privaten Schlussel 
ruckgangig gemacht werden konnen. GemaS ihrer Bezeichnung 
sind offentliche Schlussel dabei zur Verof fent lichung und be- 
liebigen Verbreitung vorgesehen, wogegen private Schlussel 
nicht ausgegeben werden durfen und bei einer Verwendung zu- 

30 sammen mit kryptograf ischen Modulen diese Module zu keinem 
Zeitpunkt verlassen durfen. VJeiterhin hinterlegt in solchen 
Modulen sind Algorithmen etwa zur Pruf summenbildung oder/ im 
Beispiel der digitalen Signatur, zur Erstellung eines soge- 
nannten digitalen Fingerabdrucks oder „Hash-Werts * , der sich 

35 dadurch auszeichnet, dass er beliebigen Dateninhalt auf eine 
in der Regel quantitativ deutlich verkurzte Information der- 
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art abbildet, dass das Resultat irreversibel und eindeutig 
ist und dass fur verschiedene Dateninhalte, mit denen der Al- 
gorithmic gespeist wird, jeweils unterschiedliche Resultate 
entstehen. 

5 

Die Erstellung eines f alschungssicheren Dokuments, an dessen 
Unverf alschtheit Dritte interessiert sind, mittels eines 
kryptograf ischen Moduls, das asymmetrische Schlussel und 
einen Algorithmus zur Erstellung von Prufwerten enthalt, ge- 

10 schieht ublicherweise wie f olgt : Zunachst wird unter Anwen- 
dung des Algorithmus zur Erstellung von Prufwerten ein sol- 
cher Prufwert erstellt, der sich auf das zu sichernde Doku- 
ment bezieht. Dann wird ein privater Schlussel im kryptogra- 
f ischen Modul benutzt, urn den Prufwert zu verschliisseln. Die 

15 Kombination dieser' beiden Vorgange .wird als Erstellung einer 
„digitalen Signature bezeichnet. 

Die Prufung einer solchen digitalen Signatur geschieht ubli- 
cherweise wie f olgt : Der Empf ar^ger erhalt das Dokument und 

20 * den verschliisselten Prufwert. Der Empfanger benotigt weiter- 
hin, und darauf zielt die spater geschilderte Erfindung ab, 
den of f entlichen Schlussel des Dokumentherstellers und ver- 
wendet diesen zur Entschliisselung des Prufwerts, den der Do- 
kumenthersteller mit seinem privaten Schlussel innerhalb des 

25 kryptograf ischen Moduls verschlusselt hatte. Nach der Ent- 

schlusselung besitzt der Empfanger somit den unverschlussel- 
ten Prufwert- Weiterhin wendet der Empfanger im nachsten 
Schritt den gleichen Algorithmus zur Erstellung eines Pruf- 
werts auf das empfangene Dokument an. Im dritten Schritt 

30 schlieSlich vergleicht der Empfanger den selbst erzeugten 
Prufwert mit dem ent schlussel ten Prufwert des Dokumenther- 
stellers. Stimmen beide Prufwerte uberein, so wurde das Doku 
ment nicht verfalscht und die Unverf alschtheit des Dokuments 
ist zweifelsfrei nachgewiesen. Ublicherweise wird bei bekann 

35 ten digitalen Signaturen auch die Authentizitat des Dokument 
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* hersteilers gepriift. Dies geschieht, indem der offentliche 
Schlussel des Dokumenthers tellers von einer sogenannten Zer- 
tif izierungsstelle oder „CA U ebenfalls digital signiert und 
einem bestinunten kryptograf ischen Modul, beziehungsweise 
einem bestimmten Inhaber des kryptograf ischen Moduls, zuge- 
ordnet wird. Der Empf anger des Dokuments niramt in diesem Fall 
den offentlichen Schlussel des Dokumentherstellers nicht ein- 
fach als gegeben an, sondern uberpruf t diesen ebenfalls auf 
Zugehorigkeit zum Dokumenthersteller , indem er die digitale 
Signatur des offentlichen Schlussels in der oben geschilder- 
ten Weise uberpruf t . 

Bei diesen bekannten Verfahren besteht das Problem, dass zur 
Prufung der Unverf alschtheit eines Dokuments eine Information 
erforderlich ist, die unmittelbar mit der Verwendung von 
Schlusseln durch den Dokumenthersteller mittels des kryp- 
tograf ischen Moduls zusammenhangt . Im oben angefuhrten ubli- 
chen Beispiel der Erstellung von digitalen Signaturen handelt 
es sich um den offentlichen Schlussel des Dokumentherstellers 
bzw. dessen kryptograf ischen Moduls, der zur Prufung herange- 
zogen we r den muss. Im Falle der Signatur des offentlichen 
Schlussels durch eine Zertif izierungsstelle wird das Gesamt- 
gebiide aus offentlichem Schlussel, Identif ikation des Anwen- 
ders dieses Schlussels sowie der digitalen Signatur der Zer- 
tif izierungsstelle als „ Schlussel zert if ikat" bezeichnet. 

Zusammengef asst lasst sich diese Problematik an einem Bei- 
spiel derart schildern, dass es zur Prufung der Unverf alscht- 
heit eines Gblichen digital signierten Dokuments erforderlich 
ist, den offentlichen Schliissel oder das Schlusselzertif ikat 
des Dokumentherstellers bzw. seines kryptograf ischen Moduls 
bei der Prufung zur Verfugung zu haben. Sollen an einer Pruf - 
stelle, wie ublich, Dokumente verschiedener Dokumentherstel- 
ler gepruft werden, so ist es erforderlich, dort alle offent- 
lichen Schlussel oder alle Schlusselzertif ikate aller Doku- 
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menthersteller zur Verfugung zu haben. 

Es existieren verschiedene Moglichkeiten, der Anforderung ge- 
recht zu werden, den offentlichen Schlussel des Dokumenther- 
5 stellers bei der Prufung zur Verfugung zu haben. So ist es 
moglich, den offentlichen Schlussel oder das Schlussel zerti- 
fikat des Dokumentherstellers an das zu sichernde Dokument 
anzuhangen. Eine weitere Moglichkeit besteht darin, den of- 
fentlichen Schlussel an der Pruf stelle zu hinterlegen und bei 
10 Bedarf auf diesen zuzugreifen. 

Die bekannten Verfahren sind jedoch mit Nachteilen verbunden. 

Das Anhangen des Schliissels oder des Schlusselzertif ikats ist 
15 dann .nachteilig, wenn der Umfang des Dokuments moglichst • ge- 
ring gehalten werden muss und ein angehangter Schlussel den 
zu druckenden, zu ubertragenden oder zu verarbeitenden Daten- 
satz ubermaSig vergrofiern wurde. 

20 Eine Hinterlegung eihes ' of f entlichen Schliissels an der Pruf - 
stelle ist insbesondere dann nachteilig, wenn ein Zugriff auf 
an der Prufstelle hinterlegte Schlussel aus praktischeh oder 
zeitlichen Erwagungen nicht moglich ist, beispielsweise bei 
einer sehr hohen Anzahl von vorgehaltenen Schliisseln, auf die 

25 in sehr kurzer Zeit zugegriffen werden musste. 

Zur Losung dieser bekannten Nachteile ist es aus der 
Deutschen Patentschrif t DE 100 2 0 563 C2 der Anmelderin be- 
kannt, bei einem gattungsgemafien Verfahren in einem Siche- 

30 rungsmodul ein Geheimnis zu erzeugen, das Geheimnis zusammen 
mit Informationen, die Auskunft liber die identitat des Siche- 
rungsmoduls geben, verschlusselt an eine Bescheinigungsstelle 
zu ubergeben, das Geheimnis in der Bescheinigungsstelle zu 
entschlusseln, hierdurch die Identitat des Sicherungsmoduls 

35 zu erkennen, anschlieSend das Geheimnis zusammen mit Informa- 
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tionen zur Identitat cies Dokumentherstellers derart zu ver- 
schlusseln, dass nur eine Prufstelle eine Entschlusselung 
vornehmen kann, um dann das Geheitnnis an einen Dokumenther- 
steller zu ubermitteln. Bei diesem Verfahren gibt der Doku- 
5 menthersteller eigene Daten in das Sicherungsmodul ein, wobei 
das Sicherungsmodul die selbst von dem Dokumenthersteller 
eingebrachten Daten mit dem Geheimnis irreversibel verknupft 
und wobei keine Ruckschlusse auf das Geheimnis moglich sind. 
Dieses bekannte Verfahren zeichnet sich dadurch aus, dass das 
10 Ergebnis der irreversiblen Verknupfung der von dem Dokument- 
hersteller eingebrachten Daten mit dem Geheimnis, die von dem 
Dokumenthersteller selbst eingebrachten Daten sowie die ver- 
schlusselten Inf ormationen der Bescheinigungsstelle das Doku- 
ment bilden, das an die Pruf ungsstelle ubermittelt wird. Die- 
is ses bekannte Verfahren eignet sich insbesondere zur Erzeugung 
und Prufung f alschungssicherer Briefmarken eines Postunter- 
nehmens. Solche Briefmarken werden durch Kunden eines Postun- 
ternehmens unter Verwendung eines personlichen kryptografi- 
schen Moduls erzeugt und als maschinenlesbarer Barcode auf 
20 die Sendung auf gebracht . Der maschinenlesbare Barcode hat nur 
einen sehr begrenzten Datenumfang und erlaubt es somit nicht, 
den offentlichen Schlussel des Kunden mit einzubringen . 
AuSerdem mussen in der sogenannten Brief produkt ion die digi- 
talen Briefmarken in kurzester Zeit gelesen und gepriift wer- 
25 den, wodurch die Moglichkeit , in Sekundenbruchteilen auf eine 
Datenbasis von moglicherweise vielen Millionen offentlicher 
Schlussel zuzugreifen, ebenfalls entfallt, 

Der Erfindvmg liegt die Aufgabe zugrunde, ein bekanntes Ver- 
30 fahren so weiter zu entwickeln, dass es unabhangig von einer 
Tinmittelbaren Kommunikation zwischen der kryptograf isch ver- 
trauenswiirdigen Kontaktstelle und dem Dokumenthersteller 
durchgefuhrt werden kann. 
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Erf indungsgemaS wird diese Aufgabe dadurch gelost, dass die 
Erstellung der zufalligen Schlusselinf ormation und die Bil- 
dung der verschlusselten Pruf information aus der Schliisselin- 
formation und dera Transaktionsindikator in einer kryptogra- 
5 fisch vertrauenswurdigen Kontaktstelle erfolgen, dass die 

kryptograf isch vertrauenswurdige Kontaktstelle die Schlussel- 
inf ormation verschlusselt, und dass die verschlusselte Pruf - 
information und die verschlusselte Schlusselinf ormation von 
der kryptograf isch vertrauenswurdigen Kontaktstelle an eine 

10 Zwischens telle ubermittelt werden, dass die Zwischenstelle 
die verschlusselte Schlusselinf ormation und die verschlus- 
selte Pruf information zwischenspeichert und zu einem spateren 
Zeitpunkt zeitlich von der Ubertragung zwischen der kryp- 
tograf isch vertrauenswurdigen Kontaktstelle und- der Zwischen- 

15 stelle entkoppelt an ein kryptograf isches . Modul eines Doku- 
mentherstellers ubermittelt. 

Die Erfindung sieht somit vor, dass das kryptograf ische Modul 
auch bei einer Speisung liber eine Zwischenstelle, beispiels- 

20 weise uber im kryptograf ischen Sinn nicht vertrauenswurdige 

Kommunikationspartner mit zwei Arten von Daten versorgt wird, 
die zum einen im kryptograf ischen Modul verbleiben und die 
zum anderen an das Dokument angehangt werden, wobei die im 
kryptograf ischen Modul verbleibenden Inf ormationen genutzt 

25 werden, um die Dokument inf ormationen uber einen Pruf wert ab- 
zusichern und wobei die in das Dokument ubernommenen Inf orma- 
tionen dazu dienen, im Rahmen einer Prufung der Unverf alscht- 
heit des Dokuments in einer Prufstelle die Absicherung des 
Dokument s durch das kryptograf ische Modul nachzuweisen. 

30 

Die Erfindung beinhaltet eine Vielzahl von Vorteilen. Sie er- 
moglicht eine Erzeugung falschungssicherer Dokumente in einer 
Vielzahl von Anwendungs fallen, insbesondere bei solchen Fal- 
len, bei denen keine direkte Verbindung zwischen dem Doku- 
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menthers teller und der vertrauenswurdigen Kontaktstelle be- 
steht. Beispielsweise ist es hierdurch moglich, f alschungssi- 
chere Dokumente ohne einen Einsatz von Computern und/oder 
eine Datenverbindung zu der vertrauenswurdigen Kontaktstelle 
5 zu erstellen. 

Grundsatzlich ist es moglich, die Schlusselinf ormation nach 
einem vorgegebenen Muster auszuwahlen. Dies erleichtert je- 
doch kryptograf ische Entschliisselungsattacken ( Enigma -Prob- 
10 lem) . 

Es ist besonders vorteilhaft, dass die Schlusselinf ormation 
dadurch erstellt wird, dass sie zufallig gebildet wird, ob- 
wohl die Erfindung mit einem vorgebbaren Satz von Schlussel - 
15 inf ormationen durchgefuhrt werden kann. Die jeweilige zufal- 
lige Erzeugung der Schlusselinf ormationen ist deshalb beson- 
ders vorteilhaft, da so eine Speicherung einer Vielzahl von 
Schlusselinf ormationen vermieden wird. 

20 Es hat sich als zweckmafiig erwiesen, dass die verschliisselte 
Schlusselinf ormation und/oder die verschliisselte Pruf informa- 
tion so beschaf fen sind, dass sie in der Zwischenstelle nicht 
entschliisselt werden konnen. 

25 Eine Entschlusselung der Schlusselinf ormationen durch das 

kryptograf ische Modul beinhaltet mehrere Vorteile. Hierdurch 
ist es moglich, dass ein Benutzer des kryptograf ischen Mo- 
dule, insbesondere ein Dokumenthersteller , eine Bestatigung 
erhalt, Inf ormationen der vertrauenswurdigen Kontaktstelle, 

30 insbesondere von der vertrauenswurdigen Kontaktstelle ge- 

schaffe'ne Geldwerteinf ormationen erhalten zu haben. AuSerdem 
ist es hierdurch moglich, dass das kryptograf ische Modul die 
enthaltene Schlusselinf ormation fur eine nachfolgende Ver- 
schlusselung einsetzt. 



35 
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Ein bevorzugter Einsatz der Schlusselinf ormationeri dient zu 
einer Verschlusselung von eigenen Daten des Dokumentherstel- 
lers. 

5 ZweckmaSigerweise ubergibt der Dokumenthersteller die eigenen 
Daten in einem moglichst automatisierten Verfahren dem kryp- 
tografischen Modul . 

Eine besonders bevorzugte Ausfuhrungsform der Erfindung 
10 zeichnet sich dadurch aus, dass das kryptograf ische Modul die 
vom Dokumenthersteller eingebrachten Daten mit der Schltissel- 
inf ormation irreversibel verknilpf t . 

Hierbei ist es besonders vorteilhaft, dass die irreversible 
15 Verknupfung zwischen den von- dem Dokumenthersteller einge- 
brachten Daten und der entschlusselten Schlusselinf ormation 
dadurch erfolgt, dass unter Verwendung der Schlusselinf orma- 
tion ein Prufwert fur das Dokument gebildet wird. 

20 Ferner ist es besonders zweckmaSig, dass das Ergebnis der ir- 
reversiblen Verknupfung der von dem Dokumenthersteller einge- 
brachten Daten mit der entschlusselten Schlusselinf ormation 
ein Dokument und/oder einen Datensatz bilden, der an eine 
Prufstelle ubermittelt wird, 

25 

Es hat sich weiter als zweckmaSig erwiesen, dass das an die 
Prufstelle ubermittelte Dokument die von dem Dokumentherstel- 
ler eingebrachten eigenen Daten wenigstens teilweise im Klar- 
text enthalt. 

30 

Dazu ist -es besonders zweckmaSig, dass in das an die Pruf- 
stelle ubermittelte Dokument die verschlusselte Pruf informa- 
tion eingebracht wird. 

35 Vorteilhaft ist, dass .die im kryptograf is chen Modul verblei- 
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benden inf ormationen derart verschlusselt sind, dass diese im 
kryptograf ischen Modul entschlusselt werden konnen und dass 
es sich bei der im kryptograf ischen Modul verbleibenden In- 
formation urn einen Wert handelt, der nicht oder nur schwer 
5 vorhersagbar ist. 

Besonders vorteilhaft ist, dass die Versorgung des kryptogra- 
fischen Moduls uber kryptograf isch nicht vertrauenswQrdige 
Kommunikat ionspart ner derart erfolgt, dass ein Austausch von 
10 Inf ormationen irmerhalb eines Dialogs nicht erforderlich ist. 

Ebenfalls von besonderem Vorteil ist, dass die Versorgung des 
kryptograf ischen Moduls uber kryptograf isch nicht vertrauens- 
wurdige Kommunikat ionspart ner derart erfolgt, dass die Wei- 
15 terreichung der Inf ormationen an das kryptograf ische Modul 
zeitlich entkoppelt ist. 

Als wichtig und zweckmaSig hat sich ergeben, dass die Versor- 
gung des kryptograf ischen Moduls auch bei einer Speisung uber 
20 kryptograf isch nicht vertrauenswurdige Kommunikat ionspartner 
durch eine vertrauenswurdige Stelle erfolgt, auf deren Inf or- 
mationen sich die Pruf stelle verlassen kann. 

Vorteilhaft ist dabei, dass zur Bereitstellung vertrauenswiir- 
25 diger Inf ormationen fftr das kryptograf ische Modul durch eine 
vertrauenswurdige Stelle kryptograf ische Verschlusselungen 
angewendet werden, die die Pruf stelle ruckgangig machen kann. 

Eine zweckmaSige Weiterentwicklung des Verfahrens sieht vor, 
30 es so durchzufuhren, dass die beiden Art en von Daten kryp- 
tograf isch miteinander verknupft sind, jedoch nicht auf dem 
Wege der Kryptoanalyse • auf gedeckt werden. 

Dazu hat sich als Vorteil gezeigt, dass die kryptograf ische 
3 5 Verknupfung der beiden Arten von Daten dergestalt ist, dass 
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nichtlineare Anteile, die nur der vertrauenswurdigen Kontakt- 
stelle und der Prufstelle bekannt sind, hinzugefugt werden. 

Vorteilhaf terweise wird das Verfahren so durchgefuhrt , . dass 
5 die erstellten f alschungssicheren Dokumente oder Datensatze 
geldwerte Inf ormationen enthalten. 

Es ist zweckmafiig, dass die geldwerte Information kryptogra- 
f isch mit dem Dokument oder dem Datensatz derart verbunden 
ist, dass durch einen Vergleich zwischen der geldwerten In- 
10 formation und dem Dokument oder den Datensatz ein Prufwert 
gebildet we r den kann. 

Ferner ist es vorteilhaf t, dass die geldwerten Inf ormationen 
einen Nachweis uber die Entrichtung von Portobetragen enthal- 
ten. 

15 Ein weiterer Vorteil ist darin gegeben, dass die eine Ent- 
richtung eines Portobetrages nachweisenden geldwerte Inf orma- 
tionen mit Identif ikationsangaben des Dokumentherstellers 
verknupft sind. 

Ferner ist es nutzlich, dass der Nachweis uber die Entrich- 
20 tung eines Portobeitrages mit einer Adressangabe verknupft 
ist . 

Ein sehr wichtiges Anwendungsgebiet der Erfindung ist die Er- 
zeugung von Freimachungsvermerken. In diesem wesentlichen An- 
wendungsfall konnen verschiedene Zwischenstellen eingesetzt 
25 werden. Beispielsweise kann ein Wert ubertragungszent rum eines 
Frankiermaschinenherstellers als Zwischenstelle genutzt wer- 
den. 

Ein weiterer Gegenstand der Erfindung ist ein Wertilbertra- 
30 gungs zent rum mit einer Schnittstelle zum Laden von Wertbetra- 
gen- In der entsprechenden Weiterentwicklung der Erfindung 
fungiert das Wertubertragungszentrum vorteilhaf terweise als 
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eine Schnittstelle zum Empfang von verschlusselten Inf ormati- 
onen einer kryptograf isch vertrauenswurdigen Kontaktstelle 
und zur Zwischenspeicherung der empf angenen verschlusselten 
Informationen. 

Es ist vorteilhaf t , dass die Informationen so verschlusselt 
sind, dass sie in dem Wert iibertragungszent rum nicht ent- 
schlusselt werden konnen. 

Ferner ist es vorteilhaf t, dass es Mittel fur einen Empfang 
von Wertubertragungsauf forderungen durch wenigstens ein kryp- 
tograf isches Modul und zur zeitlich entkoppelten Weitergabe 
der erhaltenen verschlusselten Informationen enthalt. 

Besonders vorteilhaf t ist ein kryptograf isches Modul zur Er- 
zeugung falschungssicherer Dokumente mit Mitteln zur Ausgabe 
von verschlusselten Pruf informationen und eines Pruf werts . 

Eine vorteilhafte Ausf uhrungsf orm sieht vor, dass das kryp- 
tograf ische Modul wenigstens ein Mittel zum Empfang und zur 
Entschlusselung von Schlussel informationen und wenigstens ein 
Mittel zum Empfang eines Dokuments oder eines Datensatzes 
enthalt, und dass das kryptograf ische Modul uber wenigstens 
ein Mittel zur Erstellung eines Pruf werts fur das Dokument 
oder den Datensatz verf ugt . 

Weitere Vorziige, Besonderheiten und zweckmaSige Weiterbildun- 
gen der Erfindung ergeben sich aus den Unteranspruchen und 
der nachfolgenden Darstellung bevorzugter Ausf uhrungsbei- 
spiele anhand der Zeichnungen. 

Von den Zeichnungen zeigt 

Fig- 1 das Grundprinzip eines bekannten krypto- 

graf ischen Verfahrens, 
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Fig. 2 eine Prinzipskizze fur eine Prinzipdarstellung 

einer erf indungsgemafien Erzeugung digitaler 
Freimachungen und 

5 Fig. 3 eine Prinzipdarstellung besonders bevorzugter 

Verfahrensschritte fur die Erzeugung 
f al schungs s i cher er Dokumente. 

Zur Losung dieses Problems ist aus der Deutschen Patent - 
schrift DE 100 20 563 C2 ein Verfahren zur Erstellung fal- 
schungssicherer Dokumente bekannt, bei dem die Notwendigkeit , 
Inf ormationen aus dem kryptograf ischen Modul des Dokumenther- 
stellers zur Prufung zu verwenden, entfallt. Statt dessen ba- 
siert dieses Verfahren darauf , dass eine Zufallszahl im kryp- 
tograf ischen Modul des Kunden gebildet wird. Das genaue Ver- 
fahren mit seinen drei beteiligten Parteien (1. Dokumenther- 
steller mit kryptograf ischem Modul, 2. Prufstelle und 3. Ver- 
trauenswurdige Kontaktstelle) ist in der beigefugten Fig. 1 
dargestellt. Die im nachf olgenden Text genannten Nummern be- 
ziehen sich auf die in der Fig. 1 dargestellten Schritte des 
Verf ahrens . 



JL5 



In Fig. 1 wird im kryptograf ischen Modul des Dokumentherstel- 
25 lers eine Zufallszahl erzeugt und gespeichert (1) , die zusam- 
men mit der Identitat oder Identif ikationsnummer des Doku- 
menthers tellers oder des kryptograf ischen Moduls verschlus- 
selt (2) an eine vertrauenswurdige Stelle ubermittelt wird 
(3) - Diese vertrauenswurdige Stelle entschlusselt die Zu- 
30 fallszahl und. die Identif ikationsnummer (4) , uberpruft die 
. RechtmalSigkeit der Anfrage (5) und verschlusselt darauf hin 
die Zufallszahl und einen neu gebildeten Transaktions-^Indika- 
tor in der Weise, dass nur die Prufstelle in der Lage ist, 
diese Verschlusselung ruckgangig zu machen (6) . Die derart 
35 verschlusselte Zufallszahl und der Transaktions-Indikator . 
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werden an den Dokumenthersteller zuruckgesandt (7) . Bei der 
spateren Erzeugung f alschungssicherer Dokumente gibt der Do- 
kumenthersteller nun das zu sichernde Dokument in das kryp- 
tograf ische Modul ein (8) . Dort wird unter Verwendung des Do- 
5 kumenten-Klartextes und der noch immer gespeicherten Zufalls- 
zahl ein Prufwert gebildet (9) . Crbertragen zur Prufstelle 
wird nun das Dokument im Klartext, die von der vert rauenswur - 
digen Stelle ubertragene verschlusselte Zufallszahl und der 
verschlusselte Transaktionsindikator sowie die im kryptogra- 

10 fischen Modul erzeugte Pruf information (10) . In der Pruf- 
stelle erfolgt die Feststellung der Unverf alschtheit nach 
einer Grobprufung der Dokumentenstruktur (11) durch Ent- 
schlusselung der Zufallszahl und des Traneakt ions - Indikat ors , 
die in der vertrauenswurdigen Kontaktstelle verschlusselt 

15 worden waren (12) . AnschlieSend wird wie im kryptograf ischen 
Modul des Dokumentherstellers unter Verwendung des Dokumen- 
ten-Klartexts und der soeben entschlusselten Zufallszahl ein 
Prufwert gebildet (13) . Dieser Prufwert wird schlieSlich mit 
dem vom Dokumenthersteller ubertragenen Prufwert verglichen 

20 (14) . Stimmen beide uberein, so ist sichergestellt , dass das 
Dokument unter Verwendung eines bestimmten kryptograf ischen 
Moduls erzeugt wurde, da die erf orderliche Zufallszahl nur 
dort vorhanden ist und dieses Modul kryptograf isch abgesi-^ 
chert mit der vertrauenswurdigen Kontaktstelle Inf ormationen 

25 ausgetauscht hat . Da zum einen ein bestimmtes kryptograf i- 
sches Modul verwendet wurde und zum anderen der Prufwert 
ubereinstimmt, ist sowohl die Identitat des Dokumentherstel- 
lers als auch die Unverf alschtheit des Dokuments sicherge- 
stellt . 

30 

Das beschriebene Verfahren wird in Abwandlung von der Deut- 
schen Post fur die Hers t el lung von Internet -Br iefmarken unter 
der Bezeichnung „PC-Frankierung n eingesetzt. Es zeichnet sich 
zusammengef asst dadurch aus, dass die Prufung der Unver- 
35 falschtheit der Dokumente ohne Benutzung von Schlusselinf or- 
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mationen erfolgen kann, die dem kryptograf ischen Modul eigen 
sind. Vielmehr verlasst sich die Prufstelle zum Teil auf In- 
formationen eiher vertrauenswurdigen Kontaktstelle . 

Erf indungsgemaS wird ein Verfahren zur Erzeugung digitaler 
Dokumente und Datensatze geschaffen, das ohne einen direkten 
Kontakt zwischen einer kryptograf isch vertrauenswurdigen Kon- 
taktstelle und dem kryptograf ischen Modul, beziehungsweise 
einem das kryptograf ische Modul einsetzenden Dokumentherstel- 
ler erfolgen kann. 

.Obwohl die Erzeugung der Dokumente und Datensatze keineswegs 
auf die Erzeugung von Freimachungsvermerken, beziehungsweise 
auf mit Freimachungsvermerke versehene Rostsendungen be- 
schrankt ist, stellt der Einsatz der dargestellten Verfah- 
rens- und Vorrichtungsmerkmale in einem Verfahren zur Erzeu- 
gung digitaler Freimachungen eine besonders bevorzugte Aus- 
fuhrungsform der Erfindung dar. 

Eine derartige Ausfuhrungs form wird nachfolgend anhand von' 
Fig. 2 dargestellt. 

Das schematische Modell beziehungsweise die Funktionsweise 
der neuen digitalen Freistempelung ist in FIG. 2 skizziert 
und nachfolgend beschrieben: 

1 . Im Varfeld des Ladevorgangs zwischen dem Vorgabe z ent rum 
des Anbieters und der Digitalen Freistempelmaschine des 
Kunden stellt das Postunternehmen dem Anbieter auf elekt- 
ronischem Wege maschlnenhezogene In forma, t Ion en zur zukunf - 
tigen Einspeisuhg in die Digitalen Freistempelmaschinen 
zur Verfugung. Diese Inf ormationen umfassen unter anderem 
eine Schlusselinf ormation zur Verwendung in der Maschine 
und einen sogenannten „ValidityString* , der zur spateren 
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Prufung- im Brief zentrum verwendet wird sowie Informationen 
zur Bonitat von Kunden. Teile dieser Informationen sind 
derart verschlusselt, dass sie nur innerhalb der Freistera- 
pelmaschine entschlusselt werden konnen. 

2. Zwischen der Digitalen Freistempelmaschine des Kunden und 
dem Fernwahl - Vorgabezentrum des Herstellers wird ein Vor- 
gaba -Ladevorgang mit dem Ziel durchgef uhrt ,, den verfugba- 
ren Portowert in der Freistempelmaschine zu erhohen. Wah- 
rend dieses Ladevorgangs werden auch die (zuvor von der 
Deutschen Post bereitgestellten) maschinenbezogenen Infor- 
mationen in einen manipulationssicheren Bereich der Digi- 
talen Freistempelmaschine ubertragen. Ein derart iger Lade- 
vorgang, bei dem die (von dem Postunternehmen bereitge- 
stellten) Informationen in die Maschine ubertragen werden, 
sollte innerhalb bestimmter Toleranzen regelmafiig, bei- 
spielsweise einmal innerhalb eines vorgebbaren Zeitinter- 
valls, beispielsweise monatlich erfolgen. Falls keine neue 
Vorgaben geladen werden sollen, ist einmal monatlich ein 
entsprechender Kommunikationsvorgang zwischen der Frei- 
stempelmaschine und dem Vorgabe zentrum durchzufuhren, bei 
dem ebenfalls die von dem Postunternehmen bereitgestellten 
Informationen in die Maschine ubertragen werden. Die Kom- 
munikation zwischen Vorgabe zentrum und Digitaler Freistem- 
pelmaschine muss in angemessener und uberpruf barer Weise 
abgesichert sein. 

3. Im Nachgang des Vorgabe -Ladevorgangs (Schritt 1.) findet 
zwischen dem Vorgabezentrum des Anbieters. und dem als ver- 
trauenswurdige Kontaktstelle dienenden Postage-Point des 
Postunternehmens eine gesicherte, elektronische Kommunika- 
tion uber den Kauf eines bestimmten Portobetrags fur einen 
Kunden statt . Bei dieser Datenubertragung werden Abrech- 
nungs- und Nut zungs inf ormat i onen an das Postunternehmen 
ubertragen. Da die oben beschriebene Bereitstellung von 
Informationen fur den nachsten Ladevorgang deutlich im 
voraus erfolgen kann, ist es moglich, aber nicht notwen- 
dig, die Schritte 3 und 1 zu kombinieren, sodass Schritt 3 
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• des soeben abgeschlossenen Ladevorgangs mit Schritt 1 fur 
den nachf olgenden Ladevorgang zusatnmentreffen. 

4. Den bei der vertrau'enswurdigen Kontaktstelle, dem Postage- 
Point des Postunternehmens, gekauften Portobetrag stellt 
das Postuntemehmen dem Kunden unmittelbar per Lastschrif t 
in Rechnung-. 

5. Mit der geladenen Digitalen Freistempel mas chine konnen 
prinzipiell so lange gultige digital* Freistempelabdrucke 
ausg-edrucict werden, bis das Guthaben aufgebraucht ist. Die 
digitalen Freistempelabdrucke enthalten einen zweidimensi- 
onalen Matrixcode (2D-Barcode) , in dem zusatzliche Daten 
enthalten sind, die unter anderem, wie in Schritt 1 be- 
schrieben, im Vorfeld von dem Postuntemehmen zur Verfu- 
gung gestellt wurden und die im Briefzentrum zur Prufung 
der Gultigkeit herangezogen werden. 

6. Postsendungen mit digitalem Freistempelabdruck konnen uber 
die von dem Postuntemehmen bereitgestellten Moglichkei- 
ten', z.B. Brief kasten, Postfiliale, eingeliefert werden. 

7. Sendungen mit digitalem Freistempelabdruck werden von dem 
Postuntemehmen nach Uberprufung der Gultigkeit bef ordert . 

8 . In einem Abgleich konnen geladene Portowerte des Kunden 
mit den im Brief zentrum gelesenen Portowerten verglichen 
werden . 

Bei den Informationen, die, wie im o.g. Schritt 1 beschrie- 
ben, vorab von der Deutschen Post zur Verfugung gestellt wer- 
den, sind im Sinne der vorliegenden Erfindung zwei Bestand- 
teile von Bedeutung, namlich zum einen eine Schlusselinf orma- 
tion mjcey zur Verwendung in der Maschine und zum anderen feine 
sogenannte Pruf information VS. Die Schlusselinf drmation m key 
wird vom Postage Point des Postuntemehmens, der als vertrau- 
enswurdige Kommunikationsstelle dient, derart verschlueselt, 
dass eine Entschlusselung nur im manipulationssicheren Be- 
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reich der Digitalen Freistempelmaschine (kryptograf isches Mo- 
dul) moglich ist. Die in sich bereits verschlusselte Pruf in- 
formation VS kann ohne weitere Transportverschlusselung an 
die Freistempelmaschine bzw. das kryptograf ische Modul uber- 
tragen werden. Durch die Verschlusselung der Schlusselinf or- 
mation vt^ ey ist eine Entschlusselung nur im kryptbgraf ischen 
Modul der Freistempelmaschine moglich, nicht jedoch auf dem 
nicht vertrauenswurdigen Kommunikationsweg. 

Das Prinzip der Sicherheit der Erstellung f &lschungssicherer 
Dokumente mit einem extern auf unsicherem Weg gespeisten 
kryptograf ischen Modul wird in der FIG. 3 schematisch darge- 
stellt : 



1. In einem ersten Schritt wird in einer vertrauenswurdigen 
Kontaktstelle, die in der praktischen Realisierung dem 
Postage Point des Postunternehmens entspricht, eine 
Schlusselinf ormafcion gebildet. Diese Schliissel information 
dient spater dazu, im kryptograf ischen Modul zur Erstel- 
lung eines Prufwerts herangezogen zu werden. Sinnvoller- 
weise verbleibt diese Schlusselinformation spater im kryp- 
tografischen Modul und wird dieses nicht verlassen. 

2. In einem zweiten Schritt wird eine sogenannte Pruf informa- 
tion gebildet. Diese wird zusammengestellt aus der Schlus- 
selinformation aus Schritt 1, einem Transaktions-Indika- 
tor, der Zusatzinf ormationen zum nachsten Ladevorgang des 
Kunden enthalt, sowie aus weiteren Inf ormationen. Die Zu- 
sammenstellung und anschlieSende Verschlusselung dieser 
Elemente der Pruf information geschieht in einer Weise, 
dass nur die Prufstelle spater in der Lage ist,. diese Ver- 
schlusselung wieder ruckgangig zu machen. Die Zusammen- 
stellung und anschlieSende Verschlusselung dieser Elemente 
der Pruf inf ormation geschieht auSerdem in einer Weise , 
dass auch mit Kenntnis der Schlussel inf ormationen im Klar- 
text, was jedoch theoretisch auSerhalb der vertrauenswur- 
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digen Kontaktstelle und aufierhalb des kryptograf ischen Mo- 
dule kaum moglich ist, eine Aufdeckung des Schlussels zur 
Verschlusselung der Pruf inf ormationen zur anschliefienden 
Entschlusselung an der Prufstelle vermieden wird. 

3. In einem dritten Schritt werden die im ersten Schritt er- 
zeugten Schlussel informationen derart verschlusselt , dass 
eine Entschlusselung nur im kryptograf ischen Modul beim 
Dokumenthersteller erfolgen kann, nicht jedoch auf dem 
"Obertragungsweg dorthin. 

4 . In einem vierten Schritt werden nun, vorzugsweise zusammen 
mit anderen, die Manipulationssicherheit weiter erhohenden 
Inf ormationen zum anstehenden Ladevorgang des Kunden, die 
zwei Art en von Inf ormationen ubergeben. Zum einen handelt 
es sich dabei urn die in Schritt 1 erstellte und in Schritt 
3 verschlusselte Schlusselinf ormation, die spater ih das 
kryptograf ische Modul geladen, dort entschlusselt wird und 
dort auch zur Erstellung f alschungssicherer Dokumente ver- 
bleibt. Zum anderen handelt es sich dabei urn die in 
Schritt 2 gebildete verschlusselte Pruf inf ormat ion, die 
nur von der Prufstelle wieder entschlusselt werden kann 
und die an jedes vom Dokumenthersteller spater erzeugte 
Dokument angehangt wird. 

5 - In einem f unf ten Schritt werden die zwei Art en von 

Informationen, die im Rahmen dieser Erfindung relevant 
sind, zusammen mit anderen Informationen zum anstehenden 
Ladevorgang des Kunden in der nicht vertrauenswurdigen 
Stelle zwischengespeichert . Eine Entschlusselung der bei- 
den relevanten Arten von Informationen ist an dieser 
Stelle nicht moglich. Insbesondere ist eine Aufdeckung des 
Schlussels, der in der vertrauenswurdigen Stelle verwendet 
wurde, urn die. Pruf informationen derart zu verschlusseln, 
dass nur die Prufstelle diese wieder entschlusseln kann, 
schon deshalb nicht moglich, weil der Klartext der Schlus- 
selinf ormat ion, der fur eine solche sogenannte Klartextat- 
tacke notwendig ware, nicht vorliegt. 
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6 . In einera sechsten Schritt werden die von der 
vertrauenswurdigen Stelle zur Verfugung gestellten Infor- 
mationen zeitlich entkoppelt, z.B. im Rahmen des n&chsten 
Ladevorgangs, an das kryptograf ische Modul beim Dbkument- 
hers teller tibergeben. 

7. Der siebte Schritt weist auf die Kommunikation zwischen 
nicht vertrauenswurdiger Stelle und kryptograf ischem Modul 
hin, die vorzugsweise durch zusatzliche geeignete Mitt el 
kryptograf isch abgesichert ist. Immerhin handelt es sich 
in der praktischen Realisierung urn die Kommunikation zwi- 
schen einem Vorgabezentrum eines Herstellers und dessen 
Freistempelmaschine mit kryptograf ischem Modul , die schon 
wegen des elektronisch ausgetauschten Ladebetrags gegen 
Manipulationen geschutzt werden muss. Ware diese Kommuni- 
kation nicht geschutzt, so ware eii*e unberechtigte Erhd- 
hung des Ladebetrags moglich. Nur im Sinne dieser Erfin- 
dung gilt daher das Vorgabezentrum des Herstellers als 

„ nicht vertrauenswurdige w Stelle, in der praktischen Rea- 
lisierung ist das Vorgabezentrum durchaus als vertrauens- 
wurdig einzustufen. 

8. Im achten Schritt findet eine Entschlusselung und an- 
schlie£ende Speicherung . der Schlusselinf orrriation statt, 
die in Schritt 3 verschlusselt wurde. Diese Schlusselin- 
formation wird spater benutzt, um Dokumente durch Erstel- 
lung eines Prufwerts abzusichern. Zur Vermeidung von oben 
bereits erwahnten Klartext-Attacken ist es wichtig, dass 
die Schlusselinf ormation nicht aus dem kryptograf ischen 
Modul ausgelesen werden kann, sondern nur innerhalb des 
Moduls durch ebenfalls beinhaltete Prozesse verwendet 
wird. 

9. In einem neunten Schritt wird die verschlusselte 

Pruf information aus Schritt 2 gespeichert . Da diese Infor- 
mation bereits verschlusselt ist und nicht weiter im kryp- 
tograf ischen Modul zur Datenverarbeitung benotigt wird, 
ist ihre Speicherung auSerhalb des kryptograf ischen Moduls 



WO 03/079609 




PCT/DE03/00760 



21 



moglich. Die verschlusselte Pruf information wird spater an 
jedes gesicherte Dokument angehangt, urn in der Prufstelle 

verwendet zu werden. 

» 

10. In einem zehnten, vorzugsweise zeitlich entkoppelten 
5 - Schritt gibt der Kunde bzw. Dokumenthersteller die Inhalte 
des zu sichernden Dokuments in das kryptograf ische Modul 
ein. 

11. In einem elf ten Schritt wird mit den eingegebenen 
Klartextinformationen des Dokuments unter Verwendung der 

• noch gespeicherten Schlussel information aus Schritt 1 ein 
Prufwert gebildet . Die Bildung des Prufwerts findet durch 
Anwendung eines ublichen Prufwert -Verfahrens statt, wie 
z.B. MAC, HMAC symmetrische Signatur o.a. . Mehreren beson- 
ders bevorzugten Ausfuhrungsf ormen ist gemein, dass der 
Klartext des Dokuments in der Regel irrevereibel verkfirzt 
und gleichzeitig oder anschliefiend mit einem Schlussel, in 
diesem Falle der SchlGsselinf oarmation aus Schritt 1, ver- 
schlusselt wird. 

12. In einem zwolften Schritt' wird nun das Dokument ubertra- 
20 gen. Das Gesamt dokument besteht dabei vorzugsweise aus 

mehreren, insbesondere drei Bestandteilen. Ein erster Be- 
standteil ist die eigentliche Klartextinf ormation des Do- 
kuments . 

Als zweiter Bestandteil des Gesamtdokuments sind an den 
25 Dokument en text die verschlusselten Prtif inf ormationen aus 

Schritt 2 angehangt, die in Schritt 9 im kryptograf ischen 
Modul oder auEerhalb des Modul s gespeichert wurden und 
fortan j edem zu sichernden Dokument beigefugt werden. 
Als dritter Bestandteil des Gesamtdokuments ist der in 
30 Schritt 11 gebildete Prufwert angehangt. 

. 13. Im dreizehnten Schritt erreicht das Dokument die Pruf- 

stelle, wo es auf strukturelle Vollstandigkeit und Unver- 
sehrtheit gepruft wird. In der konkreten Anwendung der Er- 
findung zur Pruf ung von Freimachungsvermerken konnen an 
35 dieser Stelle auch weitere Schlussigkeitspruf ungen statt- 
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finden. Da in diesem Falle das gesicherte Dokuraent dem ma- 
schinenlesbaren Frankiervermerk entspricht, kann dieser 
gegen andere Sendungsinf ormationen wie Anschrif t und, Sen- . 
dungsart sowie allgemeine Inf ormationen wie das Datum ge- 
priift werden. Hierdurch kann ausgeschlossen werden, dass 
ein in sich gultiger Frankiervermerk zur Freimachung einer 
nicht zu diesem Frankiervermerk passenden Sendung verwen- 
defc wird. 

14. Im vierzehnten Schritt wird die in Schritt 2 verschlus- 
selte Prufinformation wieder entschlusselt. Die aus mehre- 
ren Komponenten zusammengesetzte Prufinformation wird wie- 
der in ihre Bestandteile zerlegt. Neben ander en Inf ormati- 
onen werden dabei insbesondere die Schiasselinf ormation 
und der Transaktions-Indikator gewonnen. Letzterer kann 
einer zusatzlichen Prufung dienen. So kann beispielsweise 
die im Transaktions-Indikator hinterlegte Identitat des 
Kunden bzw. Dokumentherstellers mit einer in der Pruf- 
stelle hinterlegten Positivliste erwunschter Dokumenther- 
steller oder einer Negativliste unerwunschter Dokumenther- 
steller verglichen werden. 

15 . In einem funf zehnten Schritt wird in Analogie zu Schritt 
11 ein Prufwert erstellt. Nach dem gleichen Verfahren wie 
bei Schritt 11 werden nun die in der Prufstelle vorliegen- 
den Kl art ext inf ormationen des Dokuments unter Verwendung 
der soeben entschlusselten Schlusselinf ormation aus 
Schritt 14 ein Prufwert gebildet . Konnen verschiedene Ver- 
fahren zur Erstellung von Prufwerten im kryptograf ischen 
Modul moglich sein, so muss die konkrete Wahl des Verfah- 
rens ebenfalls angehangt an das Dokument oder im Dokument 
vom Dokumenthersteller an die Prufstelle ubertragen wer- 
den. 

16.1m abschlieBenden Schritt sechzehn wird der im. 

kryptograf ischen Modul erstellte und an das Dokument ange- 
hangte Prufwert mit dem in der Prufstelle erstellten Pruf- 
wert verglichen. Nur wenn beide Prufwert e ubereinstimmen, 
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ist gewahrleistet, dass das Dokument unter Verwendung . des 
kryptbgraf ischen Moduls beim Dokumenthers tellers erstellt 
wurde . 

Ein in missbrauchlicher Absicht agierender Dokumenther- 
steller, der ein gesichertes Dokument eines Kunden vortau- 
schen will, jedoch nicht Zugriff auf dessen kryptografi- 
sches Modul hat, wird nicht in der Lage sein, die Schlus- 
selihformation aus Schritt 1 zu erhalten und zu entschlus- 
seln. Diese ist jedoch unabdingbar, urn einen Prufwert her- 
zustellen, der mit dem in der Prufstelle hergestellten 
ubereinstimmt . Erfindet ein in missbrauchlicher Absicht 
agierender Dokumenthersteller hingegen eine geeignete 
Schlusselinformation, die er auch sinngemaS korrekt zur 
Bildung eines Prufwerts anwenden kann, so gelingt es ihm 
nicht, eine hierzu passende verschlusselte Priif information 
herzustellen. * Diese verschlusselte Pruf information musste 
derart verschlusselt sein, dass nur die Prufstelle in der 
Lage ist, eine Entschlusselung vorzunehmen. Ohne Kenntnis 
der verwendeten Schlussel ist dies nicht moglich. Folglich 
ist das System sicher und nicht uberwindbar. 

Durch die Erfindung ist es moglich, f alschungssichere Doku- 
mente zu erzeugen und die Unverf alschtheit der in dem Doku- 
ment enthaltenen Daten und/oder die I dent it at des Dokument - 
herstellers zuverlassig zu pruf en . 

Alle hierzu erf order lichen Pruf inf ormat ionen werden vorzugs- 
weise durch die vertrauenswurdige Kontaktstelle und/oder das 
kryptograf ische Modul zur Verfugung gestellt. 

Die Erfindung eignet sich fur eine Erzeugung beliebiger Doku- 
mente. Es : ist jedoch besonders vorteilhaft, die Erfindung fur 
eine Erzeugung digitaler Dokumente einer verhaltnismaSig ge- 
ringen Datenmenge in der GroSenordnung von wenigen Bit bis zu 
Dokumenten mit einer Gesamtgro&e einschlieSlich Pruf inf orma- 
t ionen bis etwa 60 byte einzusetzen. 
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Besonders bevorzugte Dokumente im Sinne der Erfindung sind 
Gultigkeitsvermerke fur eine Vielzahl von Anwendungsgebieten . 
Es ist besonders vorteilhaft, die Erfindung fur eine Uberpru- 
fung digitaler Freimachungsvermerke fur Postsendungen einzu- 
5 setzen, da sie eine besonders schnelle und einfache Erzeugung 
der Freimachungsvermerke ermoglicht. Ein Einsatz fiir andere 
Gebiete als Nachweis fur die Entrichtung von Geldbetragen - 
digitale Wertmarken beziehungsweise als sonstiger Trager 
einer Geldwert information ist gleichfalls moglich. 



Die Erfindung eignet sich insbesondere fur alle Anwendungs- 
falle, bei denen auSer dem Dokumentersteller wenigstens eine 
Pruf instanz ein Interesse an der Unverf alschtheit des Doku- 
merits- haben. Die Erfindung eignet sich hierdurch ftir weite 

15 Anwendungsbereiche , insbesondere fur die Erstellung von digi- 
talen Wertmarken fur eine Vielzahl von Einsatzgebieten, bei- 
spielsweise als Flugtickets, Fahrkarten, Theater- oder Kino- 
karten. Derartige Dokumente konnen mit Hilfe der Erfindung 
von dem Dokumenthersteller selber ausgedruckt werden, wobei 

20 es moglich ist, dass der Dokumenthersteller hierzu vorhandene 
Guthaben - oder Kredi the t rage - ausnutzt und auf diese Weise 
einen zuverlassigen Beweis der Zahlung erhSlt . 

Das Erzeugen dieser Dokumente kann beispiel'sweise uber einen 
herkommlichen Personalcomputer oder einen kryptograf isch 

25 nicht gesicherten Drucker erfolgen. Ein besonderer Vorteil 
der Erfindung ist, dass die Erstellung der Dokumente ohne 
eine Verbindung zwischen der Erzeugung der Dokumente ohne di- 
rekte Verbindung zwischen dem Dokumenthersteller und der ver- 
trauenswurdigen Kontaktatelle erfolgen kann. Die Dokumenther- 

3 0 stellung ist hierdurch auch bei Zwischenschaltung .einer oder 
mehrerer Zwischenstellen, beziehungsweise bei einer Kommioni- 
kation uber kryptograf isch nicht oder nur schwer sicherbare 
Datenwege moglich. 
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Die kryptograf isch vertrauenswurdige Kontaktstelle und/oder 
die Priifstelle erhalten Mittel um sicherzustellen, dass keine 
unberechtigten Dokumente erzeugt wurden, beziehungsweise dass 
keine Dokumente verfalscht wurderi. Hierdurch ist es auf eine 
'besonders einfache und zuverlassige Weise moglich, prufbar 
sichere digitale Dokumente zu erzeugen und diese Dokumente 
zuverlassig zu uberprufen. 

Eine derartige Prufung kann auf verschiedene Weisen erfolgen, 
wobei die genannten kryptograf is chen Verf ahrensschritte ein- 
fach und zuverlassig angewendet werden konnen. Hierdurch ist 
ein Einsatz der Erfindung aufierhalb der besonders bevorzugten 
Uberprufung der Echtheit digitaler Freimachungen von Postsen- 
dungen, beispielsweise durch eine Uberprufung der Echtheit 
der digitalen Fahrkarten, Flugtickets ect . durch einen Kon- 
trolleur, beziehungsweise bei einer Einlasskontrolle, mog- 
lich. 

Die dargestellten erf indungsgemaEen Mittel und Verf ahrens- 
schritte konnen auch auf Dokumente angewendet werden, die vor 
oder wahrend der Erstellung der Falschungssicherheit im Sinne 
dieser Erfindung ebenfalls verschlusselt werden. In diesem 
Fall wird das Verfahren vorzugsweise nicht auf einen unver- 
schlusselten Klartext, sondern einen verschlusselten Text an- 
gewandt, wobei sich jedoch die Verfahren dieser Erfindung 
nicht unterscheiden. tfe nach Auspragungsf orm ware es gleich- 
falls moglich, dass die Verschlusselung ebenfalls im kryp- 
tograf ischen Modul erfolgt und somit nach Darstellung in Fig. 
3 ein Zwischenschritt der Verschlusselung zwischen den hier 
geschilderten Schritten zehn und elf erfolgen wilrde. 
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Patentanspriiche : 



5 
10 
15 
20 

2. 

25 

3 . 

30 



Verfahren zur Erstellung f alschungssicherer Dokumente 
oder Datensatze, wobei eine Schliisselinf ormation etzeugt 
wird und wobei eine verschlusselte Pruf information aus 
der Schlusselinformation und einem Trans aktionsindika tor 
gebildet wird, d a d u r c h 

gekennzeichnet, dass die Erstellung der zu- 
falligen Schlusselinformation und die Bildung der ver- 
schlusselten Pruf information aus der Schlusselinformation 
und dem Transaktionsindikator in einer kryptograf isch 
vertrauenswurdigen Kontaktstelle erfolgen, dass die kryp- 
tograf isch vertrauenswurdige Kontaktstelle die Schliissel- 
inf ormation verschlusselt, und dass die verschliisselte 
Pruf information und die verschlusselte Schlusselinforma- 
tion von der kryptograf isch vertrauenswurdigen Kontakt- 
stelle an eine Zwischenstelle ubermittelt werden, dass 
die Zwischenstelle die verschlusselte Schliisselinf orma- 
tion und die verschlusselte Pruf information zwischenspei- 
chert und zu einem spateren Zeitpunkt zeitlich von der 
Ubertragung zwischen der kryptograf isch vertrauenswurdi- 
gen Kontaktstelle und der Zwischenstelle entkoppelt an 
ein kryptograf is ches Modul eines Dokumentherstellers 
ubermittelt. 

Verfahren nach Anspruch 1, dadurch 

gekennze ichnet, dass die Schliisselinf orma- 
tion so erstellt wird, dass die Schlusselinformation zu- 
fallig gebildet wird. 

Verfahren nach einem oder mehreren der vorangegangenen 
Anspruche, dadurch gekennzeichnet, 
dass die verschlusselte Schlusselinformation ' und/oder die 
verschlusselte Pruf information so beschaffen sind, dass 
sie in der Zwischenstelle nicht entschlusselt werden kon- 
nen. 
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4 . Verfahren nach einem oder mehreren der vorangegangenen 
Anspruche, dadurch gekennzeichnet, 
dass das kryptograf ische Modul vorzugsweise mit einem in 
dem kryptograf ischen Modul enthaltenen Schlussel eine 
Entschlusselung der Schlusselinf ormation vornimmt . 

5. Verfahren nach einem oder mehreren der vorangegangenen 
Anspruche, dadurch gekennzeichnet, 
dass der Dokument hers teller eigene Daten dem kryptograf i- 
schen Modul ubergibt . 

6. Verfahren nach einem oder mehreren der vorangegangenen 
Anspruche, dadurch gekennzeichnet, 
dass das kryptograf ische Modul die vom Dokumenthersteller 
eingebrachten Daten mit der Schlusselinf ormation irrever- 
sibel verknupft^ 

7 . Verfahren nach Anspruch 6 , dadurch 
gekennzeichnet, dass die irreversible Ver- 
knupfung zwischen den von dem Dokumenthersteller einge- 
brachten Daten und der ent schlussel ten Schlusselinf orma- 
tion dadurch erfolgt, dass unter Verwendung der Schlus- 
selinf ormation ein Prufwert fiir das Dokument gebildet 
wird. 

8. Verfahren nach einem oder beiden der Anspruche 6 oder 7, 
dadurch gekennzeichnet, dass das Er- 
gebnis der irreversiblen Verknupfung der von dem Doku- 
menthersteller eingebrachten Daten mit der entschlussel- 
ten Schlusselinf ormation ein Dokument und/oder einen Da- 
tensatz bilden, der an eine Priifstelle ubermittelt wird. 

9. Verfahren nach Anspruch 8, daduroh 
gekennzeichnet, dass das an die Prufstelle 
ubermittelte Dokument die von dem Dokumenthersteller ein- 
gebrachten eigenen Daten wenigstens teilweise im Klartext 
ent halt . 
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1Q. Verfahren nach einem oder beiden der Anspriiche 8 oder 9, 
dadurch gekennzeichnet, dass in das 
an die Prufstelle ubermittelte Dokument die verschlus- 
selte Pruf information eingebracht wird. 

11 . Verfahren. nach einem oder mehreren der vorangegangenen 
Anspruche, dadurch gekennzeichnet, 
dass in dem kryptograf ischen Modul Inf ormationen verblei- 
ben f die derart verschlusselt sind, dass sie im kryp- 
tograf ischen Modul entschlusselt werden konnen. 

12 . Verfahren nach einem oder mehreren der vorangegangenen 

Anspruche, dadurch gekennze i chnet, 
dass die Versorgung des kryptograf ischen Moduls mit den 
Inf ormationen auch bei einer Speisung uber im kryptogra- 
f ischen Sinne nicht vertrauenswurdige Kommunikationspart- 
ner durch eine kryptograf isch vertrauenswurdige S telle 
erfolgt, auf deren Information sich die Prufstelle ver- 
lassen kann. 

13 . Verfahren nach Anspruch 12, dadurch 

g e ke nn z e i chne t, dass zur Bereitstellung ver- 
trauenswurdiger Inf ormationen fur das kryptograf ische Mo- 
dul durch eine vertrauenswurdige Stelle kryptograf ische 
Verschliisselungen angewendet werden, die die Prufstelle 
ruckgangig machen kann. 

14. Verfahren nach einem oder mehreren der Anspruche .. bis 
13, dadurch gekennzeichnet, dass die 
Versorgung des kryptograf ischen Moduls uber kryptogra- 
fisch nicht vertrauenswurdige Kommunikationspartner der- 
art- erfolgt, dass die Weiterreichung der Inf ormationen an 
das kryptograf ische Modul zeitlich entkoppelt ist . 
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15 . Verfahren nach einem oder mehreren der Anspruche 1 bis 
14 , dadurch gekennzeichnet, dass die 
Versorgung des kryptograf ischen Moduls uber kryptogra- 
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f isch nicht vertrauenswurdige Kommunikationspartner der- 
art erfolgt, dass eiii Austausch von Inf ormationen inner- 
halb eines Dialogs nicht erf orderlich ist. 

16. Verfahren nach einem oder tnehreren der Anspruche 1 bis 
14, dadurch gekennzeichnet, dass die 
beiden Arten von Da ten kryptograf isch miteinander ver- 
knupft sind, jedoch nicht auf dem Wege der Kryptoanalyse 
aufgedeckt werden. 

17. Verfahren nach Anspruch 16, dadurch 
gekennzeichnet, dass die kryptograf ische 
Verknupfung der beiden Arten von Daten dergestalt ist, 
dass nicht lineare Anteile, die nur der vertrauenswurdi - 
gen Kontaktstelle Und der Prufstelle bekannt sind, hinzu- 
gefugt werden. *- 

18. Verfahren nach einem oder mehreren der vorangegangenen 
Anspruche, dadurch gekennzeichnet, 
dass die erstellten f alschungssicheren Dokumente oder Da- 
tensatze Geldwerteinf ormationen enthalten. 

19. Verfahren nach 18, dadurch 
gekennzeichnet, dass die Geldwerteinf orma- 
tion kryptograf isch mit dem Dokument oder dem Datensatz 
derart verbunden ist, dass durch einen Vergleich zwischen 
den Geldwerteinf ormationen und dem Dokument oder den Da- 
tensatz ein Prufwert gebildet werden kann. 

20. Verfahren nach einem oder beiden der Anspruche 18 oder 
19, dadurch gekennzeichnet, dass die 
Geldwerteinformationen einen Nachweis uber die Entrich- 
tung von Portobetr&gen enthalten. 

21. Verfahren nach Anspruch 20, dadurch 
gekennzeichnet, dass die den Entrichtung des 
Portobetrages nachweisenden geldwerter Inf ormationen mit 
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Identif ikationsangaben des Dokumentherstellers verknftpft 
sind. 

22. Verfahren nach einem oder beiden der Anspruche 2 0 oder 
21, dadurch gekennzeichnet, dass die 
geltwerten Informationen mit einer Adressangabe verknilpft 
werden . 

23. Wertubertragungszentrum mit einer Schnittstelle zum Laden 
von Wertbetragen, dadurch 

gekennzeichnet, dass das Wertubertragungs- 
zentrum eine Schnittstelle zum Empfang von verschlussel- 
ten Informationen einer kryptograf isch vertrauenswiirdigen 
Kontaktstelle und zur Zwischenspeicherung der empfangenen 
verschlusselten Informationen enthalt. 

24. Wertubertragungszentrum nach Anspruch 23, dadurch 
gekennzeichnet , dass die Informationen so 
verschluseelt sind, dass sie in dem Wertubertragungszent- 
rum nicht entschlusselt werden konnen. 

25. Wert ubetragungszent rum nach einem oder mehreren der 
AnsprGche 23 bis 24 , d a d u r c h 

gekennzeichnet, dass es Mittel fur einen 
Empfang von Wertiibertragungsauf f orderungen durch we- 
nigstens ein kryptograf isches Modul und zur zeitlich ent- 
koppelten Weitergabe der erhaltenen verschlusselten In- 
formationen enthalt. 

26. Kryptograf isches Modul zur Erzeugung f alschungssicherer 
Dokumtente mit Mitteln zur Ausgabe von verschlusselten 
Pruf informationen und eines Prufwerts, dadurch 
gekennzeichnet, dass das kryptograf ische Mo- 
dul wenigstens ein Mittel zum Empfang und zur Entschlus- 
selung von Schlusselinf ormationen und wenigstens ein Mit- 
tel zum Empfang eines Dokuments oder eines Datensatzes 
enthalt, und dass das kryptograf ische Modul wenigstens 
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ein Mittel zur Erstellung eines Prufwerts filr das Doku- 
merit oder den Datensatz unter Verwendung der Schlusselin- 
formation enthalt. 
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